CODEDRAGON ㆍSecurity/SecureCoding
소프트웨어 보안약점 유형
SW 보안약점은 입력데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러 처리, 코드오류, 캡슐화, API오용 유형으로 분류
유형 | 내용 | 예 |
입력데이터 검증 및 표현 | 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점 |
|
보안기능 | 보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현한 경우 발생할 수 있는 보안약점 |
|
시간 및 상태 | 동시/거의동시 수행을 지원하는 병렬시스템 또는 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리할 경우 발생할 수 있는 보안약점 |
|
에러처리 | 에러를 처리하지 않거나 불충분하게 처리하여 에러정보에 중요정보(시스템 정보 등)가 포함될 때 발생할수있는 보안약점 |
|
코드오류 | 타입 변환오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 발생할 수 있는 보안약점.
|
|
캡슐화 | 중요한 데이터 또는 기능을 불충분하게 캡슐화 했을 때 인가되지 않은 사용자에게 데이터가 누출될 수 있는 보안약점 |
|
API 오용
| 의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점 |
|
'Security > SecureCoding' 카테고리의 다른 글
시큐어 코딩 관련 용어정의 (0) | 2015.03.02 |
---|---|
SW 보안약점(Detail) (0) | 2015.03.01 |
정보화사업 감리법인 보안활동 (0) | 2015.02.26 |
정보화사업 수주사업자 보안활동 (0) | 2015.02.25 |
정보화사업 발주기관 보안활동 (0) | 2015.02.24 |